[Zusk]

Добрый день многоуважаемые гуру ! ))) 

Подскажите как лучше и на чем организовать PPPoE/L2tp сервер на 200-300 подключений (1 подключение это 2-6 мб/с)? На железке какой то или же просто собрать "мини сервер" и софтерное решение. 

Задача такая: 

Будет подан интернет со статикой на железку/сервер, необходимо будет что б клиенты из интернета подключались по pppoe для проброса портов под камеры видеонаблюдения для быстрого доступа к потокам... Подобный сервис есть в интернете, но интереснее же самому сделать. 

Скорость канала будет порядка 200мб/с ... если попрет то до 500 расширю, но не думаю что прям в ближайшем будущем. 

Необходим более мение удобный функционал по привязки проброса портов, ведению юзеров, а так же возможно ли будет какие то логины(определенные внутренние айпишники) объединять в общую локальную сеть. 

 

Заранее спасибо. 

 

PS: не сосвсем уверен что создал тему в нужном разделе.

 

[Ivan_83]

1 час назад, Zusk сказал:

необходимо будет что б клиенты из интернета подключались по pppoe

Из интернета к тебе по PPPoE не смогут подключится.

L2TP - нужно в реестр ключик прописывать чтобы он IPSec не требовал.

 

FreeBSD + mpd5 или линукс + аккель.

Думаю любой офисный тазик на райзене или интеле и3 и выше.

 

И подучи арифметику: 200*2 >> 200.

[vlad11]

1. Зависит от того, как вы их авторизовывать будете.
2. Если занимаетесь клубничкой, то сервак надо брать в нейтральной стране.
3. Если ретрансляцией тв, то по-лучше выбирайте абьюзоустойчивую площадку.

[s.lobanov]

7 часов назад, Ivan_83 сказал:

И подучи арифметику: 200*2 >> 200.

сразу видно диванного теоретика. переподписка это базовый принцип сервисов на основе пакетной коммутации, в том числе и vpn-сервисов как хочет сделать топикстартер

 

8 часов назад, Zusk сказал:

Необходим более мение удобный функционал по привязки проброса портов, ведению юзеров, а так же возможно ли будет какие то логины(определенные внутренние айпишники) объединять в общую локальную сеть.

удобной штуки аля isp manager для вирт.хостинга, но такое же для vpn-ов - я не видел такого готового продукта (точнее видел и даже сам работал в вендоре это продукта, но за его цену вы можете целую стойку серверов купить или даже не одну :) )

[Zusk]

10 hours ago, Ivan_83 said:

И подучи арифметику: 200*2 >> 200.

Спасибо, умею. В этом плане все учел. 

 

7 hours ago, vlad11 said:

• Зависит от того, как вы их авторизовывать будете.
• Если занимаетесь клубничкой, то сервак надо брать в нейтральной стране.
• Если ретрансляцией тв, то по-лучше выбирайте абьюзоустойчивую площадку.

Задачу написал в самом начале. Обмана тут нет. Реально нужно просто через белый IP пробрасывать камеры/регистраторы. 

 

@s.lobanov Спасибо! Были мысли все зарулить через pfSense (опыт развертывания и поддержания сети на нем уже есть), но позадумался а надо ли ... может что проще есть или же железка... 

 

Принимаются мысли дальше ))) спасибо за обсуждение. 

 

Т.к. в железках немного слаб по данной тематике, есть вопрос: 

Может с такой задачей справиться какой нить Микротик красной серии (аля RB2011iLS-IN) или же Zyxel USG20-VPN. 

Просто мне б было бы приятно положить небольшую железку в стойку и трогать ее только раз в год пыль протереть и иногда залазить дописывать юзеров и порты новые добавлять ( у или же отключать юзеров). 

 

ЗЫ: Да простят меня если что...... по сути, делаю для себя вот этот сервис https://birevia.com/ 

Изменено 6 февраля, 2019 пользователем Zusk

[jffulcrum]

6 часов назад, Zusk сказал:

Может с такой задачей справиться какой нить Микротик

Что-то вроде 1100AHx4 с самими туннелями справится, но вот в плане управления пользователями возможны проблемы.

[LostSoul]

13 часов назад, s.lobanov сказал:

сразу видно диванного теоретика. переподписка это базовый принцип сервисов на основе пакетной коммутации, в том числе и vpn-сервисов как хочет сделать топикстартер 

данный принцип не работает, если payload это некий синхронный поток данных фиксированной скорости.

 

 

[s.lobanov]

@LostSoul 

Понятно что если потребление это непрерывный поток 2 мбит, то 2*200>>200, но исходя из описания сервиса это сервис проброса порта для хомячков с камерами за натом, которые сами не подключаются к проксе. Вы реально думаете что все будут непрерывно пялиться в свою камеру? 

 

Те, кто смотрят в камеру непрерывно - вряд ли будут делать это через vpn

[LostSoul]

2 минуты назад, s.lobanov сказал:

Понятно что если потребление это непрерывный поток 2 мбит, то 2*200>>200, но исходя из описания сервиса это сервис проброса порта для хомячков с камерами за натом, которые сами не подключаются к проксе. Вы реально думаете что все будут непрерывно пялиться в свою камеру?  

 

Те, кто смотрят в камеру непрерывно - вряд ли будут делать это через vpn

Я не думаю, а знаю точно .   У нас такой сервис уже больше 5 лет работает.

Только мы для устройств свои прошивки на базе openwrt клиенту выдаем , с более эффективным для 3g/4g протоколом типа globax .

Зачем в этом проекте что-либо кроме нескольких обычного Linux сервера я решительно не понимаю.

 

 

 

[s.lobanov]

@LostSoul ок, пусть будет по вашему. В любом случае ТС написал уже, что если 200 будет мало, то расширит

 

наверное речь идёт об альтернативах тазику с линуксом, ну типа поставить шлакотик или нечто подобное

[LostSoul]

9 минут назад, s.lobanov сказал:

наверное речь идёт об альтернативах тазику с линуксом, ну типа поставить шлакотик или нечто подобное

просто не очень понятно, зачем все это.

если ради надежности то проще n+1 сервер поставить с динамической регистрацией в DNS и с коротким ttl.

 

[Ivan_83]

53 минуты назад, LostSoul сказал:

просто не очень понятно, зачем все это.

Автор пытается на пиво заработать, сайт с прайсом уже есть, теперь дело за малым :)

[Ferdin]

В 06.02.2019 в 22:08, LostSoul сказал:

Только мы для устройств свои прошивки на базе openwrt клиенту выдаем , с более эффективным для 3g/4g протоколом типа globax .

Это не реклама продукции одной имеющей тут фирмы, известной темы )) эффективных протоколов с подстройкой секторов на базовой станции для ваших устройств )

Прошивка на базе openwrt переделана под модинг убрано все лишнее и добавлено с других ofmodemsandmen проектов. )

[LostSoul]

1 минуту назад, Ferdin сказал:

Это не реклама продукции одной имеющей тут фирмы, известной темы )) эффективных протоколов с подстройкой секторов на базовой станции для ваших устройств )

Прошивка на базе openwrt переделана под модинг убрано все лишнее и добавлено с других ofmodemsandmen проектов. )

Мы не даем рекламы .  Нету даже сайта.

Проект целиком сделан под нескольких крупных заказчиков по их просьбе.

Ничего связанного с WiFi и секторами у нас нету ( за исключением пассивного геолокейшена места установки оборудования по окружающим WiFi для автоматического заполнения города установки в веб-морде ) . 

Устройства преимущественно подключены к интернету через 1 или 2   3g/4g модема.

 

[rdmitrich]

В 06.02.2019 в 05:08, Zusk сказал:

Добрый день многоуважаемые гуру ! ))) 

Подскажите как лучше и на чем организовать PPPoE/L2tp сервер на 200-300 подключений (1 подключение это 2-6 мб/с)? На железке какой то или же просто собрать "мини сервер" и софтерное решение. 

Задача такая: 

Будет подан интернет со статикой на железку/сервер, необходимо будет что б клиенты из интернета подключались по pppoe для проброса портов под камеры видеонаблюдения для быстрого доступа к потокам... Подобный сервис есть в интернете, но интереснее же самому сделать. 

Скорость канала будет порядка 200мб/с ... если попрет то до 500 расширю, но не думаю что прям в ближайшем будущем. 

Необходим более мение удобный функционал по привязки проброса портов, ведению юзеров, а так же возможно ли будет какие то логины(определенные внутренние айпишники) объединять в общую локальную сеть. 

 

Заранее спасибо. 

 

PS: не сосвсем уверен что создал тему в нужном разделе.

 

 

MT 

 

[NiTr0]

1 час назад, rdmitrich сказал:

MT 

ТСу нужна какбы не игрушка на 60 сессий с околонулевым трафиком, а масштабируемое и легко управляемое решение. по последнему у некротика для целей ТСа удобство ушло не особо-то далеко от обычного тазика с ппп демоном с обычными логинами-паролями-ип в chap-secrets и правилами в iptables. ну разве что админу не в консольке буковки набирать, а мышкой клац-клац - но список телодвижений примерно тот же, операции делаются во многих местах и ошибиться вполне можно.

 

ну и судя по всему, ТС вместо pppoe имел ввиду таки pptp (потому как pppoe на удаленном сервере бессмысленно чуть менее чем полностью) - а с этим у некротика грусть-печаль от рождения.

 

по готовому - тут навряд что-то есть. можно конечно взять какой-то биллинг, умеющий в персональные радиус-аттрибуты для пользователей (такие есть?), к нему прикрутить аксель, и реализовывать создание-удаление правил иптейблса в ifup/ifdown исходя из Filter-ID, в который и прописывать правила для трансляции портов вида '12345-80,12346-443', но надо будет немного доработать напильником + удобство спорное.

 

второй вариант - набросать с нуля мини-биллинг, морда на бутстрапе + бэк на джанго + сам радиус на pyrad или чем-то подобном - за пару недель ковыряния в свободное время вполне можно получить вполне рабочее и удобное в управлении решение. ну а сервер доступа - все тот же аксель со скриптами.

[rdmitrich]

14 минут назад, NiTr0 сказал:

ТСу нужна какбы не игрушка на 60 сессий с околонулевым трафиком, а масштабируемое и легко управляемое решение. по последнему у некротика для целей ТСа удобство ушло не особо-то далеко от обычного тазика с ппп демоном с обычными логинами-паролями-ип в chap-secrets и правилами в iptables. ну разве что админу не в консольке буковки набирать, а мышкой клац-клац - но список телодвижений примерно тот же, операции делаются во многих местах и ошибиться вполне можно.

 

ну и судя по всему, ТС вместо pppoe имел ввиду таки pptp (потому как pppoe на удаленном сервере бессмысленно чуть менее чем полностью) - а с этим у некротика грусть-печаль от рождения.

 

по готовому - тут навряд что-то есть. можно конечно взять какой-то биллинг, умеющий в персональные радиус-аттрибуты для пользователей (такие есть?), к нему прикрутить аксель, и реализовывать создание-удаление правил иптейблса в ifup/ifdown исходя из Filter-ID, в который и прописывать правила для трансляции портов вида '12345-80,12346-443', но надо будет немного доработать напильником + удобство спорное.

 

второй вариант - набросать с нуля мини-биллинг, морда на бутстрапе + бэк на джанго + сам радиус на pyrad или чем-то подобном - за пару недель ковыряния в свободное время вполне можно получить вполне рабочее и удобное в управлении решение. ну а сервер доступа - все тот же аксель со скриптами.

Вы как то слишком густо мажете.... ТС, судя по тексту, вообще никак не шарит, путает pppoe и l2tp, какой там биллинг и тазик ?? и тем более iptables ?? Указанный МТ запросто удержит 200 и более сессий

Для него это самое быстрое и комфортное решение, тем более там трафика, 200 мегабит...  Вы ему еще редбэк посоветуйте для такой мелочи )))) 

 

14 минут назад, NiTr0 сказал:

второй вариант - набросать с нуля мини-биллинг, морда на бутстрапе + бэк на джанго + сам радиус на pyrad или чем-то подобном - за пару недель ковыряния в свободное время вполне можно получить вполне рабочее и удобное в управлении решение. ну а сервер доступа - все тот же аксель со скриптами.

Вообще пинзец!! ))) 2-3 недели если есть опыт , будет точнее )))   С МТ работы на 20 минут )))))

Изменено 10 февраля, 2019 пользователем rdmitrich

[LostSoul]

28 минут назад, rdmitrich сказал:

Вы как то слишком густо мажете.... Т

Он не густо мажет, а просто бредит и ненавидит каждого, кто посмел купить готовое и оттестированое производителем устройство с linux вместо того чтоб пару лет лепить его самостоятельно :-)

 

Но, кое в чём он прав, ТС действительно не нужна для VPN отдельная железка.

Все легко делается на том же сервере , где у него  крутится веб-морда, личный кабинет и.т.п.

Размещать за бабло отдельную железку невыгодно.

 

А еще непоняты цели создания проекта.

 

У нас он был сделан ради эффективного расходования ресурсов IP-адресов .

 

У нас есть здания , подключенные по арендованным каналам с BGP-включением, расходовать на такое здание приходится подсеть /24  , при реальном потребности здания в размере около 32 адресов.

Чтоб оставшиеся 224шт IP / на сегмент  не пропадали, мы организовали для наших партнеров сервис по выделению белых IP на их распределенное по стране оборудование с телеметрией.  Кое где и к камерам удаленный доступ.

 

В результате и волки сыты  ( подключение надежно резервировано на уровне здания ) и овцы целы ( IP-адреса полезно используются )

 

Зачем такой проект ТС с его явно недостаточными знаниями - не вполне понятно.

 

 

 

 

[rdmitrich]

3 минуты назад, LostSoul сказал:

А еще непоняты цели создания проекта.

Все тут понятно ))) Как стать миллионером  за месяц )))

[NiTr0]

53 минуты назад, rdmitrich сказал:

путает pppoe и l2tp,

вообще-то путает пптп и пппое. и по этой причине некротик отпадает.

 

53 минуты назад, rdmitrich сказал:

и тем более iptables ??

чем иптейблс в текстовике отличается от иптейблса в окошке некротика? только тем, что в первом случае - тыцать кнопки на клавиатуре а во втором - тыцать кнопки на экране мышкой?

 

49 минут назад, rdmitrich сказал:

Указанный МТ запросто удержит 200 и более сессий

дадада, с юзерспейс пптп и в каждом туннеле 2-6 мбит поток :)

отдел сказок этажом выше.

 

52 минуты назад, rdmitrich сказал:

2-3 недели если есть опыт , будет точнее )))

ну само собой, если есть хоть какой-то небольшой опыт.

 

50 минут назад, rdmitrich сказал:

С МТ работы на 20 минут )))))

да не вопрос мышкой наговнякать, с табличкой в экселе для "биллинга" (услуга-то платная планируется есличо). вот только согласятся ли клиенты ждать по полдня пока оплаченную ними услугу вручную включат - вопрос...

 

27 минут назад, LostSoul сказал:

А еще непоняты цели создания проекта.

вполне себе понятны - клиент платит небольшую денежку (меньшую, чем стоит выделенный ип адрес - который к слову не всякий оператор и выдает), поднимает туннель со своего серого адреса, и имеет возможность в любой момент времени из любого места посмотреть в свою камеру. 200 клиентов по 1-1.5 бакса - уже 200-300 баксов. даже дедик на хетцнере стоит дешевле, про вдс (которого с головой) - вообще молчу.

ну т.е. с минимумом затрат и нулем напряга получается проект, способный приносить немного денег на пиво.

[rdmitrich]

23 минуты назад, NiTr0 сказал:

вообще-то путает пптп и пппое. и по этой причине некротик отпадает.

Чеэта вдруг ??

23 минуты назад, NiTr0 сказал:

чем иптейблс в текстовике отличается от иптейблса в окошке некротика? только тем, что в первом случае - тыцать кнопки на клавиатуре а во втором - тыцать кнопки на экране мышкой?

 

Да ничем по сути, просто ТС вообще не в зуб ногой )) Какой там iptables ? ))

 

24 минуты назад, NiTr0 сказал:

дадада, с юзерспейс пптп и в каждом туннеле 2-6 мбит поток :)

отдел сказок этажом выше.

Мамай клянус...

25 минут назад, NiTr0 сказал:

да не вопрос мышкой наговнякать, с табличкой в экселе для "биллинга" (услуга-то платная планируется есличо). вот только согласятся ли клиенты ждать по полдня пока оплаченную ними услугу вручную включат - вопрос...

Carbon бесплатен на 200 пользователей 

27 минут назад, NiTr0 сказал:

вполне себе понятны - клиент платит небольшую денежку (меньшую, чем стоит выделенный ип адрес - который к слову не всякий оператор и выдает), поднимает туннель со своего серого адреса, и имеет возможность в любой момент времени из любого места посмотреть в свою камеру. 200 клиентов по 1-1.5 бакса - уже 200-300 баксов. даже дедик на хетцнере стоит дешевле, про вдс (которого с головой) - вообще молчу.

ну т.е. с минимумом затрат и нулем напряга получается проект, способный приносить немного денег на пиво.

Скорее всего нет, просто ТС решил стать провайдером )))

[Saab95]

Микротик легко решит данную задачу, можно взять устройства вида CCR1009, либо что-то из подобного. Он умеет вести локальную базу абонентов с IP адресом и ограничением скорости, может выдавать IP из пула, а так же может авторизовывать через радиус, то есть некий другой сервер или сайт может всем управлять. 200-300 подключений для него смешная нагрузка.

[rdmitrich]

3 минуты назад, Saab95 сказал:

Микротик легко решит данную задачу, можно взять устройства вида CCR1009, либо что-то из подобного. Он умеет вести локальную базу абонентов с IP адресом и ограничением скорости, может выдавать IP из пула, а так же может авторизовывать через радиус, то есть некий другой сервер или сайт может всем управлять. 200-300 подключений для него смешная нагрузка.

Там даже CCR не нужен

[LostSoul]

ТС на своем сайте пишет

 

"Наши сервера находятся на центральной магистрали сети Интернет, поэтому где бы не находилось Ваше оборудование, пинг будет минимальный "

 

а хезер это же какашка немецкая,  до которого 30 лет и 3 хопа....

 

впрочем, учитывая что у ТС сайт находится на reg.ru  можно ожидать всего.

 

[rdmitrich]

1 час назад, LostSoul сказал:

ТС на своем сайте пишет

 

"Наши сервера находятся на центральной магистрали сети Интернет, поэтому где бы не находилось Ваше оборудование, пинг будет минимальный "

 

а хезер это же какашка немецкая,  до которого 30 лет и 3 хопа....

 

впрочем, учитывая что у ТС сайт находится на reg.ru  можно ожидать всего.

 

Еще раз перечитал топик..... ТС какой то неверной дорогой идет, зачем ему VPN ??? Если только услуги облака конторам оказывать ??